由于 DNS 经常受到难以防范的中间人、欺骗和缓存中毒攻击的侵害,因此,Windows Server(R) 2008 R2 中的 DNS 服务器和客户端引入了对域名系统安全扩展 (DNSSEC) 的支持。简而言之,就是 DNSSEC 允许对 DNS 区域和区域中的所有记录进行加密签名。当承载已签名区域的 DNS 服务器接收到查询时,该服务器会返回数字签名以及查询的记录。解析程序或另一台服务器可以获取公/私钥对的公钥,并验证响应是否真实可信以及是否尚未被篡改。为达到此目的,必须将带有信任密钥的解析程序或服务器配置用于签名区域或签名区域的父区域。

核心 DNSSEC 扩展在 RFC 4033、4034 和 4035 中指定,并将起源权威、数据完整性和身份验证拒绝存在添加到 DNS。除了几个适用于 DNS 服务器和 DNS 客户端的新概念和操作外,DNSSEC 还将四种新的资源记录(DNSKEY、RRSIG、NSEC 和 DS)引入 DNS。

Windows Server 2008 R2 中的 DNS 服务器发生了以下更改:

  • 可以对某一区域进行签名并承载已签名的区域。

  • 支持对 DNSSEC 协议进行更改。

  • 支持 DNSKEY、RRSIG、NSEC 和 DS 资源记录。

Windows Server 2008 R2 中的 DNS 客户端发生了以下更改:

  • 可以表明了解查询中的 DNSSEC。

  • 可以处理 DNSKEY、RRSIG、NSEC 和 DS 资源记录。

  • 可以检查与其通信的 DNS 服务器是否已代表客户端执行验证。

DNS 客户端有关 DNSSEC 的行为通过名称解析策略表 (NRPT) 进行控制,该表中存储了定义 DNS 客户端行为的设置。通常使用组策略来管理 NRPT。

其他参考

目录